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数据 包 分 析 工 具 及 其 在 网 络 党 理 中 的 应 用 


摘 要 : 伴随 着 计算 机 网 络 的 高 速 发 展 ， 我 们 能 够 迅速 获取 最 新 的 信息 和 知识 ， 人 们 的 工作 和 生活 发 生 了 巨大 的 变化 ， 越 来 
越 依赖 网 络 ， 对 网 络 的 安全 性 也 越 来 越 重视 。 数 据 包 是 网 络 通信 传输 中 的 重要 数据 单位 ， 因 此 ， 数 据 包 分 析 技 术 的 运用 对 保 
障 网 络 的 高 效 、 稳 定 、 可 靠 运行 有 积极 的 意义 。 数 据 包 分 析 工 具 的 作用 就 是 帮助 网 络 管理 员 监 控 网 络 性 能 、 分 析 网 络 安全 状 
况 、 定 位 各 类 网 络 相关 问题 。 本 文 简要 介绍 了 数据 包 分 析 技 术 原理 等 相关 知识 ， 展 示 了 数据 包 分 析 工 具 在 网 络 管理 工作 中 的 


部 分 实践 经 验 。 
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在 庞大 的 互联 世界 里 ， 承 载 着 各 种 信息 的 数据 包 通 
过 网 络 时 刻 不 停 地 交换 传递 ， 往 来 于 不 同 的 目的 地 ， 数 
据 包 被 不 同 的 人 赋予 了 不 同 的 用 处 ， 有 的 传送 数据 ， 有 
的 暗藏 危 险 ， 不明 身 份 的 数据 包 到 处 游荡 给 网 络 安全 带 
来 了 隐患 。 为 了 能 够 清晰 地 了 解 网 络 中 数据 包 携 带 的 信 
息 ， 我 们 需要 运用 数据 包 分 析 技 术 对 它们 进行 解读 ， 以 
分 析 网 络 中 的 细微 变化 ,提前 做 好 安全 防范 ， 及 时 定位 、 
清理 网 络 中 的 风险 。 

为 了 能 够 掌握 网 络 数据 包 的 真实 状况 ， 网 络 管理 工 
作 通 常会 借助 数据 包 分 析 工 具 抓 取信 息 后 生成 的 大 量 数 
据 统计 信息 ， 对 网 络 上 的 通信 设备 及 传输 进行 有 效 的 还 
原 ， 及 时 清理 影响 安全 运行 的 故障 或 隐患 。 

目前 ， 市 面 上 有 很 多 流行 的 数据 包 分 析 工 具 ， 如 
OminiPeek 、Sniffer Pro、Wireshark、Tcpdump/windump、 
国产 科 来 等 ， 功 能 上 略 有 差异 ， 这 些 软件 有 商业 的 、 有 
免费 的 ， 可 按 个 人 喜好 选择 使 用 。 
1. 数据 包 分 析 工 具 简 介 
1.1 原理 

数据 包 分 析 工 具 的 本 质 是 数据 包 嗅 探 ， 是 观察 正在 
运行 的 协议 实体 间 交 换 报 文 的 基本 工具 ， 通 常用 来 进行 
协议 分 析 和 网 络 监控 ， 以 便 进 行 故 障 诊断 、 性 能 分 析 和 
安全 分 析 等 ， 黑 客 则 用 它 进 行 安全 人 敏感 信息 的 监听 和 截 
取 。 

数据 包 分 析 工具 主要 由 分 组 捕获 器 ( packet capture ) 
和 分 组 分 析 需 (packet analyzer ) 两 部 分 组 成 。 

分 组 捕获 需 需 要 把 网 卡 设 置 为 “混杂 模式 
( promiscuous mode ) ”， 当 数据 包 从 嗅 探 器 所 连接 的 网 
卡 上 进入 系统 时 ， 嗅 探 程 序 可 以 收 到 整个 以 太 网 内 的 网 
络 数据 信息 ， 包 括 所 有 的 广播 、 组 播 和 单 播 数据 包 ， 甚 
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至 错误 数据 包 ， 从 而 实现 数据 包 捕 获 。 

分 组 分 析 器 的 作用 是 分 析 协 议 报 文 并 把 报 文中 所 有 
的 字段 内 容 直 观 地 显示 出 来 。 其 主要 构成 通常 包括 包 过渡 
器 、 数 据 包 缓冲 区 和 解码 部 分 ， 包 过 滤器 用 于 设 定 协议 分 
析 器 想 要 捕获 的 数据 包 类 型 ， 通 常 都 可 以 按照 协议 类 型 、 
通信 的 耳 地 址 、 网 络 接口 层 地 址 和 应 用 程序 来 设 定 过 波 
条 件 ; 解码 部 分 主要 是 将 缓冲 区 中 已 经 捕获 的 数据 包 解析 
为 用 户 可 读 的 协议 数据 单元 格式 ， 以 便 用 户 分 析 。 

绝 大 多 数 数据 包 分 析 工 具 都 提供 了 一 定 的 数据 包 统 
计 功 能 ， 可 以 对 各 种 类 型 的 数据 包 进 行 整 理 统计 ， 包 括 
各 种 类 型 的 错误 数据 包 。 
1.2 主要 用 途 

数据 包 分 析 工 具 在 网 络 管理 中 通常 用 于 诊断 网 络 活 
动 出 现 的 故障 ， 还 可 以 用 于 搜集 网 络 性 能 的 趋势 ， 从 而 为 
预防 出 现 影响 网 络 正常 工作 或 性 能 的 极端 情况 提供 参考 ， 
多 数 数据 分 析 包 工具 都 有 能 力 跟踪 网 络 流量 的 短期 和 长 期 
趋势 ， 包 括 网 络 利 用 率 、 每 秒 钟 数据 包 速 率 、 数 据 包 长 度 
分 布 及 使 用 的 协议 等 ， 网 络 管理 员 能 够 利用 这 些 信 息 跟踪 
网 络 发 生 的 细微 变化 ， 为 网 络 管理 提供 极 大 的 帮助 。 
1. 3 部 署 方式 

常见 的 数据 包 分 析 工 具 部 署 方式 有 3 种 : 

(1) 直接 在 被 监控 的 主机 上 安装 ， 用 来 捕获 通过 网 
卡 进 出 的 所 有 数据 包 。 

(2 ) 端口 镜像 。 将 交换 机 上 的 多 个 端口 镜像 到 一 个 
端口 用 于 监控 。 

采用 端口 镜像 方式 时 ， 需 要 注意 镜像 端口 的 流量 负 
载 ， 把 太 多 的 端口 镜像 到 一 个 端口 ， 在 网 络 流量 达到 一 
定 级 别 后 ， 可 能 会 远 远 超 出 镜像 端口 的 物理 承受 能 力 而 
出 现 数据 包 丢失 情况 ， 而 且 交 换 机 在 长 时 间 维 持 最 大 负 
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荷 时 ， 可 能 会 将 镜像 端口 判断 为 遭 到 某 类 型 的 拒绝 服务 
或 广播 风暴 攻击 ， 丢 弃 多 余 的 数据 包 ， 甚 至 暂停 内 部 交 
换 电 路 。 在 高 吞吐 量 级 别 的 环境 下 ， 端 口 镜像 可 能 会 
生 不 稳定 的 结果 。 

(3 ) 使 用 网 络 分 路 器 (TAP ) 。 网 络 分 路 器 是 一 个 
可 以 实时 获取 网 络 流量 的 硬件 设备 ， 使 用 时 串 接 在 网 络 
链 路 中 ， 在 不 影响 网 络 正常 流量 的 情况 下 ， 将 被 监测 链 
路 中 的 网 络 数据 复制 到 它 的 另外 一 个 或 多 个 端口 上 供 不 
同 的 分 析 工 具 进 行 分 析 。 

只 有 正确 捕获 数据 包 ， 才 能 如 实 还 原 网 络 的 状况 ， 
在 部 署 数据 包 分 析 交 换 工 具 时 还 是 要 先 了 解 抓 包 网 络 的 
具体 情况 ， 仔 细 考 虑 工具 的 部 署 位 置 。 有 些 特 丈 情 况 应 
当 注 意 : 在 交换 式 网 络 中 ， 抓 取 整 个 VLAN 数据 包 ， 须 
直 连 核心 交换 机 ， 避 免 因 特殊 VLAN 划分 导致 部 分 主机 
数据 包 漏 抓 ; 防火 墙 流量 监控 有 所 不 同 。 监控 防火 墙 内 口 ， 
可 以 观察 到 内 网 用 户 发 起 的 所 有 访问 Internet 的 流量 ， 其 
源 耳 地 址 均 为 内 部 卫 地址 ， 监 控 防 火 墙 外 口 ， 则 观察 到 
的 是 所 有 经 过 防火 墙 放行 的 访问 Internet 的 流量 ， 其 源 IP 
地 址 均 为 外 部 〈 公 网 ) 地 址 。 
2. 网 络 管理 应 用 

通过 数据 包 分 析 工 具 可 以 查看 网 络 中 的 通信 过 程 及 
应 用 占用 带宽 情况 ， 识 别 网 络 运行 的 高 峰 时 间 ， 分 析 可 
能 的 攻击 或 恶意 行为 ， 寻 找 不 安全 以 及 滥用 网 络 资源 的 
应 用 ,是 了 解 网 络 状 况 的 最 佳 工 具 。 日 常 网 络 管理 应 用 
大 多 基于 以 下 几 个 方面 : 
2. 1 评估 网 络 性 能 

数据 包 分 析 工 具 内 置 了 多 种 数据 统计 信息 功能 ， 如 
IO 、 协 议 分 层 、 会 话 等 数据 汇总 图 表 ， 通 过 这 些 信息 展 
示 出 当前 网 络 数据 包 所 呈现 的 带宽 性 能 、 用 户 带宽 占用 、 
数据 包 长 度 、 端 点 会 话 情况 等 综合 情况 ， 为 网 络 管理 员 
分 析 、 评 佑 是否 要 对 网 络 进行 相应 的 调整 提供 了 详实 的 
数据 依据 。 

在 传输 期 间 发 生 错误 、 丢 包 、 重 传 现 象 ， 是 网 络 管 
理 员 在 工作 中 需要 关注 的 常见 问题 。 其 中 ， 遇 到 最 多 的 
是 TCP 重 传 ， 这 种 情况 下 ， 可 记 下 报错 IP 地 址 ， 然 后 直 
接 在 浏览 器 访问 ， 能 访问 的 可 根据 网 页 信息 判断 与 网 络 
内 的 终端 是 否 有 应 用 关联 ; 无 法 访问 的 可 以 到 域名 查询 
网 站 ( 如 whois.com ) 了 解 该 IP 的 注册 信息 ， 再 做 进一步 
处 理 。 

实际 工作 中 ， 也 经 常 遇 到 与 应 用 层 软 件 有 关 的 情 
况 ， 例 如 ， 一 种 是 终端 用 户 使 用 了 一 些 部 分 功能 可 在 国 
内 使 用 的 境外 软件 ， 运 行 中 后 台 自 动 访问 不 能 在 国内 访 
问 的 境外 官网 ， 导 致 无 法 连接 出 现 错误 数据 包 。 最 典型 
的 是 谷歌 ， 其 Chrome 浏览 器 市 场 占有 率 较 大 ， 内 置 的 某 
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些 模块 经 常会 后 台 访 问 官 网 ， 运 行 netstat 可 以 看 到 ， 前 
述 方法 查证 的 谷歌 所 属 卫 的 TCP 连接 状态 显示 为 SYN_ 
SENT， 没 有 收 到 应 答 。 一 般 情况 下 ，TCP 三 次 SYN 同步 
请 求 而 没有 任何 回复 ， 可 能 是 服务 器 端的 问题 ， 也 有 可 
能 是 防火 墙 拦截 了 特定 端口 上 的 请 求 ， 大 量 访问 谷 歌 地 
址 产生 的 错误 TCP 数据 包 就 应 该 属于 这 种 情况 。 

又 如 ， 越 来 越 多 的 杀毒 、 文 字 处 理 等 各 种 应 用 软件 
厂家 怀 着 不 同 的 目的 ， 以 为 用 户 提供 各 种 服务 为 由 ， 党 
驻 电脑 启动 项 或 服务 项 ， 经 常 自动 在 后 台 连 接 其 官网 检 
查 更 新 或 同步 数据 。 通 过 直接 访问 或 whois 查询 的 方式 ， 
认 其 公 网 IP 地址 后， 抓 取 客 户 端 和 服务 器 会 话 的 数据 
包 查 看 ， 双 方 第 一 次 握手 的 TCP SYN 同步 请 求 都 很 快 连 
接 , 但 服务 器 回应 客户 端 较 慢 , 导致 传输 时 发 生 TCP 重 传 ， 
推测 为 由 于 办 公 类 软件 互联 网 用 户 数量 庞大 ， 服 务 器 连 
接 压力 较 大 。 为 了 进一步 确认 发 生 TCP 重 传 的 IP 地址 所 
关联 的 应 用 层 程序 ， 运 行 netstat -ano 查询 该 IP 地 址 使 用 
的 PID, 使 用 进程 查看 工具 强行 关闭 PID 后 ， 再 次 抓 包 ， 
该 地 址 不 再 出 现在 TCP 重 传统 计 里 ， 由 此 可 验证 ， 应 用 
层 软 件 与 IP 地 址 的 关系 判断 正确 与 否 。 

网 络 的 性 能 受 多 种 因素 影响 ， 不 可 能 始终 保持 最 佳 
状态 ， 有 赖 于 TCP 的 错误 恢复 特性 ， 量 级 较 小 的 延 时 、 
较 少 的 TCP 重复 确认 和 重 传 等 数据 包 错误 ， 不 需要 做 什 
么 特别 处 理 。 

2. 2 快速 定位 故障 

曾经 有 用 户 反 映 在 单位 内 网 可 以 访问 互联 网 ， 在 抓 
包 中 发 现 网 络 中 有 单位 内 网 地 址 主机 的 数据 包 ， 虽 然 内 
网 规模 较 小 ， 没 有 做 VLAN 划分 等 区 分 措施 ， 但 是 各 个 
内 网 主机 分 布 在 办 公 楼 的 各 楼 层 ， 只 能 在 机 房 汇聚 交换 
机 上 一 层 一 层 拔除 各 楼 层 上 连 到 交换 机 端口 的 网 线 ， 逐 
步 缩 小 范围 ， 确 认 混 插 位 置 。 事 后 得 知 ， 该 部 门 某 人 因 
无 法 上 网 ,查看 线路 时 看 到 部 门 的 8 口 小 交换 机 旁 有 网 线 ， 
以 为 是 从 交换 机 上 脱落 ， 随 手 将 网 线 插入 了 内 网 用 的 交 
换 机 ， 而 这 根 网 线 实际 上 是 从 外 网 交换 机 上 来 的 。 

2. 3 排查 网 络 威胁 

作为 网 络 管理 员 ， 要 时 刻 留意 网 络 中 可 能 出 现 的 安 
全 威胁 ， 不 定期 观察 网 络 数据 包 情 况 以 及 数据 包 分 析 工 
具 内 置 的 协议 、 会 话 、 端 点 等 统计 信息 ， 可 清楚 地 观察 
到 数据 包 在 网 络 中 的 异动 ， 我 们 可 根据 需要 具体 分 析 。 
使 用 统计 信息 时 应 当 注 意 的 是 以 下 两 点 : 

2.3.1 关注 网 络 流量 大 的 IP 地 址 

有 些 异常 的 网 络 流量 可 以 通过 每 个 IP 地 址 的 收发 包 
数量 是 否 正 常 来 判断 ， 即 收发 之 间 是 否 存 在 较 大 差异 ， 
如 发 包 数 量 远大 于 收 包 数 量 。 光 发 包 不 收 包 是 种 类 似 于 
广播 的 应 用 ， 如 果 只 收 不 发 或 者 只 发 不 收 ， 那 很 可 能 就 
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意味 着 这 个 IP 地址 的 当前 流量 有 异常 (例如 受到 SYN 攻 清晰 地 了 解 网 络 屋 、 传 输 层 和 应 用 层 协议 ， 快 速 地 诊断 

击 ), 需 要 可 以 进一步 通 对 捕获 的 数据 包 的 内 容 进 行 分 析 。 ”网络 故障 ， 迅 速 解决 网 络 的 实际 问题 ， 在 网 络 管理 和 安 

2.3.2 分 析 大 流量 IP 地 址 的 数据 包 监控 中 起 到 了 很 大 作用 。 除 此 之 外 ， 数 据 包 分 析 工 具 
查看 大 流量 IP 地 址 的 协议 使 用 和 收发 包 情况 , 注 ”还 可 以 应 用 于 网 络 应 用 的 开发 与 调试 ， 帮 助 开 发 人 员 分 

意 发 包 时 间 间 隔 ， 非 常 短 的 毫秒 级 间隔 ， 异 常 流量 包括 。 析 网 络 产 品 的 数据 包 通 信和 情况 , 以 便于 更 好 地 优化 产品 。 

ARP、IP 或 TCP 扫描 等 ， 而 TCP 扫描 行为 未 必 只 有 病毒 。 随 着 万 物 互 联 时 代 的 到 来 ， 网 络 数据 包 分 析 工 具 的 应 用 

才能 引发 ， 软 件 bug 也 可 以 触发 ， 应 当 注意 区 分 。 范围 必 将 会 越 来 越 广 阔 。 品 

1 于 感染 病毒 的 主机 会 在 网 络 中 不 断 的 发 送 数据 包 ， 

使 网 络 的 效率 非常 低 ， 大 大 影响 网 络 的 性 能 ， 利 用 数据 “” 庆 考 文 献 人 

包 分 析 工 具 能 非常 直观 、 快 速 地 发 现 这 些 主机 ， 帮 助 网 

络 管理 人 员 了 迅速 锁定 问题 IP 地址 。 [1] 陈 年 .TCP/IP 协议 分 析 教程 与 实验 [M]. 清华 大 学 出 版 社 ， 
查看 IP 对 话 统 计 信 息 ， 按 照发 出 数据 包 由 少 到 多 排 2016: 10-11 

序 ， 当 看 到 一 个 IP 地 址 向 各 个 其 他 IP 地 址 发 送 报 文 , 就 ” [2] ( 美 ) Chris Sanders 著 ， 诸 葛 建 伟 ， 陆 宇 翔 ， 曾 浩 辰 ， 

要 注意 继续 确认 是 否 有 主机 感染 了 病毒 。 译 .Wireshark 数据 包 分 析 实 战 (第 3 版 ) .人民 邮 电 出 
在 TCP/UDP 会 话 统计 中 可 以 查看 发 包 ， 一般 一 个 主 版 社 ，2018. 

机 合理 的 TCP 连接 数 是 10 到 30 个 左右 ， 上 百 个 可 能 是 [3]Wireshark User”s Guide[EB/OL].https: //www.wireshark. 


不 正常 的 ， 但 也 有 可 能 是 该 主机 正在 进行 P2P 下 载 需 org/docs/wsug_html_chunked/. 
要 核实 。 
结语 (作者 单位 : 新 华 社 北 京 分 社 ) 
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地 天 气动 态 图 ; 教育 节目 类 制作 同样 离 不 开 虚 拟 技术 的 。 用 所 学 的 专业 知识 和 技术 挖 气 诸 多 未 被 挖掘 的 虚拟 技术 ， 
融入 。 为 了 能 够 帮助 学 生 更 为 全 面 和 生动 理解 节目 讲解 ”积极 地 将 技术 应 用 于 电视 节目 的 制作 之 中 。 
的 相关 内 容 , 通常 将 虚拟 技术 应 用 于 演播 室 讲解 过 程 中 ， 总 而 言 之 ， 虚 拟 技术 在 电视 节目 制作 过 程 中 的 应 用 
运用 三 维 动画 形式 等 技术 呈现 所 讲解 内 容 ， 实 现 虚 拟 技 。 充分 展示 了 电视 制作 技术 的 升级 和 发 展 ， 在 应 用 过 程 中 
术 与 教育 场景 的 融合 。 不 同 的 课程 内 容量 现 方式 有 所 不 ”应 遵循 合法 性 和 真实 性 原则 ， 使 技术 与 电视 节目 实现 融 
同 ， 如 对 于 人 文 历史 类 的 知识 而 言 ， 常 运用 虚拟 技术 呈 。 合 ， 为 广大 受众 提供 盛大 的 视觉 盛宴 。 六 

现 历史 故事 、 历 史 中 的 人 物 以 及 经 典 典 故 等 ， 对 于 科学 

理工 类 的 知识 , 运用 虚拟 技术 模拟 实验 操作 过 程 和 结果 ， ” 座 考 多 献 Ja 

节省 了 开展 实验 的 时 间 和 大 量 资源 等 。 虚 拟 技术 的 应 
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丰富 了 教学 效果 ， 也 激发 了 学 生 对 节目 内 容 的 兴趣 度 。 四 范 清 淳 . 多 媒体 技术 在 电视 节目 制作 中 的 应 用 四 . 传播 力 

4. 虚拟 技术 在 电视 节目 制作 中 应 用 的 启示 研究 ，2018 (8 ) : 93-95. 

4. 1 适度 应 用 虚拟 技术 [2] 教 建华 .基于 虚拟 现实 技术 的 电视 节目 制作 四. 西部 广播 
随 着 虚拟 技术 在 我 国 各 个 领域 应 用 范围 的 不 断 拓 展 ， 电视 ，2018 (6 ) : 104-106 

滥用 和 错 用 技术 等 情况 经 常 发 生 。 如 滥用 错 用 虚拟 技术 ”[3] 闫 金霞 . 数字 化 编辑 技术 在 电视 节目 制作 中 的 作用 四. 科 

使 电视 节目 原 有 的 效果 受到 负面 影响 。 如 台湾 壹 电视 小 技 传播 ，2018 ( 6 ) : 30-32. 

用 虚拟 技术 播放 杀人 、 自 身 等 现场 内 容 ， 还 原 了 现场 细 [种 牛 益 .计算 机 技术 在 电视 节目 制作 中 的 应 用 四. 西部 广播 

节 和 过 程 , 对 未 成 年 人 的 身心 健康 发 展 形成 了 不 良 影 响 。 电视 ，2018 (1 ) : 55-58. 

因此 ， 虚 拟 技术 在 应 用 的 过 程 中 应 追求 真实 性 和 合法 性 。 [5] 王 营 .VR 技术 在 电视 节目 制作 中 的 探索 与 应 用 中. 长春 

等 原则 ， 向 社会 公众 传递 社会 正 能 量 。 师范 大 学 学 报 ，2018 (6 ) : 33-34. 


4. 2 挖掘 虚拟 技术 的 潜能 

随 着 虚拟 技术 在 电视 节目 制作 过 程 中 的 广泛 使 用 ， ( 作者 单位 : 辽宁 广播 电视 人 台 
虚拟 技术 的 内 在 潜能 得 到 逐步 挖掘 。 因 此 ， 为 了 进一步 
丰富 电视 节目 的 制作 过 程 ， 还 应 当 培 养 综合 型 人 才 ， 运 


